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Verfahren zur Durch fuhrung eines Software-Updates einaa 
elektronischen St euergerates durch eine Flash- 
Programntieriina ube r eine serielle Schnittstelle und ein 
entsprechender Zustandsautomat 



Die vorliegende Erfindung betrifft ein Verfahren zur 
Durchfiihrung eines Software-Updates eines elektronischen 
Steuergerates durch eine Flash-Programmierung Uber eine 
serielle Schnittstelle . 

Stand der Technik 

Der Einsatz eines sogenannten Flash als Speichertechnologie 
fur Programm- und Datenstand nimmt in elektronischen 
Steuergeraten zu. Diese Speichertechnologie ermoglicht ein 
Software-Update der Steuergerate durch eine 
Neuprogrammierung des entsprechenden Flash-Speichers der 
Steuergerate Uber serielle Schnittstellen . Bei der 
seriellen Schnittstelle kann es sich dabei bspw. urn eine 
zentrale Of f-Board-Diagnoseschnittstelle eines Fahrzeugs 
handeln, uber welche mit einem sog. Flash- 

Programmierwerkzeug der Flash-Speicher eines elektronischen 
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Steuergerates des Fahrzeuges neu programmiert wird. Somit 
1st ein Software-Update ohne Ausbau des entsprechenden 
elektronischen Steuergerates aus dem Fahrzeug mdglich, was 
zu erheblichen Kosteneinsparungen gegentiber einem 
Steuergerateaustausch bzw. -ausbaus ftihrt. Bei der 
beschriebenen Art der Flash- Programmierung sind 
insbesondere im Service der Fahrzeuge sowie im Bereich 
sicherheitsrelevanter elektronischer Steuergerate hohe 
Sicherheits- und Zuverlassigkeitsanforderungen zu erf Alien. 

Mit den derzeit eingesetzten Flash-Technologien konnen nur 
ganze Flash-Bereiche eines Flash-Speichers gelSscht oder 
neu programmiert werden. Dabei wird eine kleinste, 
physikalisch zusammengehdrende, geschlossen losch- oder 
programmierbare Speichereinheit des Flash-Speichers als 
Segment bezeichnet. Bei einer Flash-Programmierung sind 
deshalb die Schritte Loschen und Programmieren von Flash- 
Segmenten zu unterscheiden. Dabei mufi ferner beachtet 
werden, daJJ es nicht moglich ist gleichzeitig aus einem 
Flash-Segment ein Programm auszufiihren, wahrend ein anderes 
Flash-Segment des gleichen Flash-Bausteins neu programmiert 
wird. Die Programmteile zur Steuerung des 
Programmierablaufs fur ein Flash-Bauteil miissen deshalb, 
zumindest temporar wahrend der DurchfQhrung der Flash- 
Programmierung, in einen anderen Speicherbaustein, bspw. in 
einen anderen Flash-Baustein oder einen freien RAM (Random 
Access Memory) -Bereich des Steuergerates ausgelagert 
werden . 



Wegen der begrenzten Ubertragungsleistung der Off-Board- 
Diagnoseschnittstelle kommt es bei grofien Flash-Speichern 
von elektronischen Steuergeraten zu recht langen Flash- 
Programmierzeiten. Deshalb besteht in der Produktion und im 
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Service haufig die Anforderung, die Flash-Programmierzeiten 
zu verkilrzen. 

Ferner ist bei einer Flash- Progranunierung aus 
Haftungsgrtinden stets zu beachten, dafi eine nicht 
autorisierte Flash-Programmierung oder eine Flash- 
Programmierung mit einem manipulierten Program- oder 
Datenstand moglichst zu verhindern ist. Letztlich ist zu 
beachten, dafi eine Flash-Programmierung uber eine genannte 
Off-Board-Diagnoseschnittstelle stets ein verhaltnismaftig 
lange Zeitspanne in Anspruch nehmen kann. Dabei ist mit 
Abbruchen des Programmierablauf s durch evtl . auftretende 
Sterungen jederzeit zu rechnen. Derartige Storungen sind 
etwa der Ausfall der Spannungsversorgung eines Fahrzeuges 
oder des Flash-Programmierwerkzeuges, unzulassige Reaktion 
anderer Steuergerate im Netzwerk, Unterbrechung der 
Kommunikationsverbindung zwischen dem zu programmierenden 
elektronischen Steuergerat und dem dazu eingesetzten Flash- 
Programmierwerkzeug oder ein Bedienf ehler . Auch eine 
fehlgeschlagende Authentisierung und Signaturpruf ung konnen 
zum Abbruch einer Flash-Programmierung fuhren. Deshalb ist 
es natig die Verf ugbarkeit bzw. einen sofortigen Neustart 
der Flash-Programmierung jederzeit gewahren zu konnen. 

Vorteile der Erfindung 

Es wird ein erf indungsgemaAes Verfahren gema/3 Anspruch 1 
und ein entsprechender Zustandsautomat gemaA Anspruch 8 
vorgestellt. Weitere Vorteile und bevorzugte 
Ausfuhrungsformen werden in den entsprechenden 
Unteranspruchen aufgefiihrt. 

Gemaft Anspruch 1 wird ein Verfahren zur Durchfuhrung eines 
Software-Updates eines Steuergerates durch eine Flash- 
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Programmierung eines mehrere Segmente aufweisenden 
Flashspeichers des Steuergerates aber eine serielle 
Schnittstelle bereitgestellt, wobei in einem ersten Schritt 
des Verfahrens an die Flash-Programmierung zu stellende 
Anforderungen festgelegt werden, so dafi ein Ablauf der 
Flash-Programmierung durch einen Zustande und Obergange der 
Software des Steuergerates def inierenden Zustandsautomaten 
spezifiziert und letztlich Verf ugbarkeits-, Sicherheits- 
und Zuverlassigkeitsanforderungen eines jeden Zustandes und 
eines jeden Obergangs des Zustandsautomatischen uberpruft 
werden. 

Vorzugsweise werden bei Festlegen von an die Flash- 
Programmierung zu stellende Anforderungen zunachst fur die 
Software des Steuergerates verschiedene Betriebszustande 
spezifiziert. Dabei wird vorzugsweise unterschieden 
zwischen einem "Anf angszustand", einem "Normalzustand" und 
einem Zustand "Software-Update". Ferner werden die 
Obergange zwischen den genannten Betriebszustanden und die 
Obergangsbedingungen definiert. Bei einer weiteren 
bevorzugten Ausf uhrungsf orm des Verfahrens werden fur die 
Flash-Programmierung relevante Speicherblocke der Software 
des Steuergerates in programmierbare und nicht 
programmierbare Speicherblocke unterteilt und neu zu 
programmierende Komponenten der Software den Steuerblocken 
entsprechend zugeordnet. Weiterhin vorzugsweise werden die 
Speicherblocke der Software jeweils einem Speicher des 
Steuergerates, insbesondere ein programmierbarer 
Speicherblock einem Segment des Flash-Speichers bzw. ein 
nicht programmierbarer Speicherblock einem ROM (Read-Only- 
Memory) des elektronischen Steuergerates zugeordnet. 
Aufgrund der begrenzten Obertragungsleistung der Off-Board- 
Diagnoseschnittstelle kommt es bei groiien Flash-Speichern 
zu recht langen Flash-Programmierzeiten . Deshalb ist es 
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wunschenswert, die Flash-Programmierzeiten zu verkurzen 
was bspw. durch eine Verringerung der neu zu 
programmierenden Flash-Segmente m6glich ist. Dies wird 
vorzugsweise durch die Flash-Programmierung einzelner 
Software-Funktionen oder durch eine getrennte Flash- 
Programmierung far den Programm- und Datenstand des 
elektronischen Steuergerates erreicht. Dabei wird haufig 
der Programmstand bereits bei der Steuergerateproduktion 
programmiert, wahrend der Datenstand spater bspw 
fahrzeugspezifisch am Ende der Produktion eines Fahrzeuges 
programmiert wird. Aufgrund dessen werden in einer weiteren 
bevorzugten Ausf uhrungsf orm des erf indungsgemafien 
Verfahrens jeweils in Segmenten des Flash-Speichers des 
Steuergerates der sog. Boot-Block, der Program- und er 
Datenstand abgelegt. Das bedeutet, da* verschiedene 
Softwarefunktionen, sowie Programm- und Datenstand in 
verschiedenen Flash-Segmenten abgelegt werden. Alle 
Programmteile des Steuergerates, die fur eine Kommunikation 
zwxschen dem Steuergerat und einem Flash- 
Programmierwerkzeug fiber die Off-Board- 

Diagnoseschnittstelle wShrend einer Flash-Programmierung 
erfoxderlich sind, mussen dabei zusammen rait entsprechenden 
Flash-Programmierroutinen, einem sog. Flash-Loader im ROM 
des elektronischen Steuergerats oder in einem anderen 
weiteren Flash-Segment abgelegt werden. Die fur die 
Kommunikation zwischen Steuergerat und Flash- 
Programmierwerkzeug erf orderlichen Programmteile werden 
untertexlt in programmierbare und nicht programmierbare 
AnteUe, namlich einen im ROM abgelegten Basisumfang im 
folgenden als Start-up-Block bezeichnet, und einen im Flash 
abgelegten Basisumfang, im folgenden als Boot-Block 
bezeichnet. Start-up- und Boot-Block zusammen stellen die 
fur eine Flash-Programmierung iiber eine Off-Board- 
Dxagnoseschnittstelle notwendige Sof tware-Funktionalitat 
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exnes Mikrocontrollers des Steuergerates zur Verftigung 
Exne Aufteilung in Start-up- und Boot-Block ist aus 
verschiedenen Grunden sinnvoll. So kann der Boot-Block 
selbst, falls er, wie beschrieben, i m Flash-Speicher 
abgelegt wird, neu programmiert werden. Ferner kann im 
Boot-Block, der aktuelle Status einer Flash-Programmierung 
unverlierbar abgespeichert werden, so da* bspw. nach einem 
Abbruch der Flash-Programmierung ein Wiederauf setzen 
moglich ist. Die unveranderbare Basisf unktionalitat des 
Start-up-Blocks und eine Kennung fur eine Hardwarevariante 
des elektronischen Steuergerates k6nnen hingegen im 
kostengunstigeren und nicht neu programmierbaren ROM des 
Steuergerates abgelegt werden. Erf indungsgemali wird ferner 
der Programm- und der Datenstand jeweils in einem anderen 
Segment des Flash-Speichers abgelegt. 

In einer weiteren bevorzugten Ausf iihrungsf orm des 
erfindungsgemailen Verfahrens werden Sicherheits-, 
Zuverlassigkeits- und Verf ugbarkeitsanf orderungen der 
durchzufuhrenden Flash-Programmierung spezif iziert . Ein 
Obergang eines Mikrocontrollers des Steuergerates in den 
Betriebs zustand "Software-Update" wird von einem Flash- 
Programmierwerkzeug angestoBen. Neben evtl. notwendig 
PlausibilitatsprUfungen, wie etwa bei Motorsteuergeraten 
die PrUfung auf einen Motorstillstand, die vor einem 
Beenden eines Fahrprogramms und einem Obergang in den 
Betriebszustand "Software-Update" durchgefuhrt werden 
mussen, sind bei einem Einsatz in Produktion und im Service 
wextere SicherheitsmaJSnahmen erf orderlich . Demnach ist es 
bspw. aus Haftungsgriinden erf orderlich, eine nicht 
autorisierte Flash-Programmierung oder Flash-Programmierung 
mxt manipuliertem Programm- oder Datenstand moglichst zu 
verhindern. Zumindest sollten derartige Flash-' 
Programmierungen erkannt und nachgewiesen werden konnen 
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Daher wird ein Flash-Programmierzugrif f in der Regel tiber 
zwei unterschiedliche Verschltisselungsverfahren 
abgesichert. Zum Einen handelt es sich dabei urn eine 
Authentisierung, was einer PrUfung der eigentlichen 
Zugriffsberechtigung entspricht und nach einer 
Plausibilitatsprtifung durchgeftihrt wird. Dabei wird anhand 
eines digitalen Schlussels tiberprtift, ob ein Anwender des 
Flash-Programmierwerkzeuges uberhaupt berechtigt ist, ein 
Software-Update durchzufiihren. Ein zweites 
Verschlusselungsverfahren ist eine sog. Signaturprtif ung. 
Hierbei wird die Datenkonsistenz eines neu zu 
programmierenden Programm- oder Datenstands tiberprtift. 

Bei der Signaturprtif ung wird von einem Flash- 
Programmierwerkzeug anhand eines weiteren digitalen 
Schlussels tiberprtift, ob der neu zu prograrmnierende 
Programm- oder Datenstand zur Steuergerate-Hardware paJit 
und ob der neu zu programmierende Programm- oder Datenstand 
bspw. nach der Auslieferung durch den Fahrzeughersteller an 
die Service-Organisation unzulassig manipuliert wurde. Erst 
nach einem erf olgreichen Abschluii bei der genannten Prufung 
soil das eigentliche L6schen und Programmieren der 
entsprechenden Segmente des Flash-Speichers ermoglicht bzw 
freigegeben werden. Die Freigabe erfolgt dabei durch den 
vorstehend beschriebenen Boot-Block. Bei der Spezif izierung 
des Sicherheits- und Zuverlassigkeitsanforderung der Flash- 
Programmierung ist auch zu beachten, daft nach der Flash- 
Programmierung die Signatur eines Mikrocontrollers des 
Steuergerates auf Basis des tatsachlich in den Flash- 
Speicher programmierten Programm- und Datenstands berechnet 
wird, urn Fehler wahrend der Programmierung erkennen zu 
kSnnen. Nach einer erf olgreichen Signaturprtif ung wird diese 
berechnete Signatur selbst im Flash-Speicher abgelegt. Dazu 
werden besondere Speicherstrukturen, eine sog. 
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Programmstands- und Datenstandslogistik als Teil des 
Programm- und des Datenstands im Flash-Speicher abgelegt 
Nur nach einer erfolgreichen Signaturprufung gibt der Boot- 
Block die Aktivierung des neuen Programms wie bspw. eines 
5 Fahrprogramms frei . 

Ferner wird bei dem erf indungsgemaflen Verfahren 
vorzugsweise auch die Verfugbarkeitsanforderung der Flash- 
Pro grammie rung spezif iziert . Da die Flash-Programmierung 
.0 viber die Of f-Board-Diagnoseschnittstelle trotz bereits 
beschriebener OptimierungsmaAnahmen eine verhaltnisma/Jig 
lange Zeitspanne in Anspruch nehmen kann, ist generell mit 
Abbruchen des Programmierablauf s durch St6rungen j ederzeit 
zu rechnen. Derartige Storungen sind etwa ein Ausfall einer 
5 Spannungsversorgung eines Fahrzeuges oder eines Flash- 
Programmierwerkzeugs, unzulassige Reaktionen anderer 
St6r ger ate im Netzwerk, Unterbrechungen der 
Kommunikationsverbindung zwischen dem elektronischen 
Steuergerat und dem eingesetzten Flash-Programmierwerkzeug 
0 Oder Bedienfehler. Auch f ehlgeschlagene Authentisierung und 
Sxgnaturprufungen fuhren in der Kegel zu einem Abbruch der 
Flash-Programmierung. Fur einen Entwurf des Ablaufs der 
Flash-Programmierung ist es deshalb wichtig, die 
Verfiigbarkeit der Flash-Programmierung unter alien 
> denkbaren Umstanden zu gewahrleisten. Dies bedeutet bspw 
dali nach einem Abbruch in alien Situationen jederzeit ein' 
Neustart des Programmierablauf s gewahrleistet wird. Dazu 
wird in einer weiteren bevorzugten Ausf uhrungsform des 
erfindungsgemalien Verfahrens durch den Zustandsautomaten 
' bei Dur chftihrung der Flash-Programmierung im 

Betriebszustand "Software-Update" einnehmbare Subzustande 
Obergange zwischen diesen und Obergangsbedingungen 
spezif iziert. Als Subzustande kann es sich dabei urn den 
Subzustand "Abbruch/Fehlermeldung" oder 
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"Abschlu/i/Erfolgsmeldung" handeln. Ferner konnen 
vorzugsweise Subzustande fur Authentisierung und 
Signaturprufung spezifiziert werden sowie Subzustande fur 
das Loschen und Programmieren von Segmenten des Flash- 
Speichers. Weiter ist es wunschenswert eine Spezif ikation 
von Subzustanden far eine Auslagerung und eine Flash- 
Programmierung des Boot-Blocks vorzunehmen . Eine 
Spezifikation von Obergangen zwischen den genannten 
Subzustanden und entsprechender Obergangsbedingungen wird 
erfindungsgemafi. ebenfalls vorgenommen. 

Ferner umfaA die vorliegende Erfindung ein Computerprogramm 
bestehend aus Programmcodeelementen, durch welches bei 
AusfUhrung der Programmcodeelemente auf eine. Computer oder 
auf emem Computersystem automatisch vordef inierte 
Verftigbarkeits-, Sicherheits- und 

Zuverlassigkeitsanforderungen eines- jeden Zustands und 
ernes jeden Obergangs eines vorstehend beschriebenen 
Zustandsautomaten uberpriift werden. 



Letztlich betrifft die vorliegende Erfindung ein Verfahren 
zur Flash-Programmierung eines vorstehend beschriebenen 
Boot-Blocks. Es wird ein Verfahren zur Durchfuhrung einer 
Flash-Programmierung eines fur die Durchfuhrung der Flash- 
25 Programmierung notwendige Sof tware-Funktionalitat 

bereitstellenden Boot-Blocks bereitgestellt . Der Boot-Block 
ist dabei in einem ersten Segment eines Flash-Speichers 
abgelegt. In einem ersten Schritt wird der neu zu 
programmierende alte Boot-Block in einen freien PAM-Bereich 
30 kopiert. D.h. der noch aktive alte Boot-Block mufi wShrend 
der Flash-Programmierung in einen anderen Speicherbaustein 
des Steuergerates ausgelagert werden, was bedeutet daii der 
Boot-Block relokatierbar sein mufi . In einem zweiten Schritt 
wird sodann der alte Boot-Block im RAM aktiviert und im 
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Flash-Speicher, wo er in einem ersten Segment abgelegt ist 
deaktiviert. Weiterhin wird der neue Boot-Block in einem ' 
zweiten Segment des Flash-Speichers zwischenabgelegt 
Dieser Schritt umfafit dabei das Loschen des zweiten 
Segmentes des Flash-Speichers, Programmieren des neuen 
Boot-Blocks in das zweite Segment des Flash-Speichers and 
erne Signaturpruf ung fur den neuen Boot-Block in dem 
zweiten Segment des Flash-Speichers. Nach einem Abbruch 
wahrend dieser Verf ahrensschritte kann mit dem gultigen, 
alten Boot-Block in dem ersten Segment des Flash-Speichers 
die Flash-Programmierung erneut gestartet werden. In einem 
weiteren Schritt des erf indungsgemaAen Verfahrens wird 
letztlich der neue Boot-Block programmiert durch Kopieren 
des zweiten Segmentes des Flash-Speichers in das erste 
Segment des Flash-Speichers. Dieser Schritt umfafit dabei 
das LSschen des ersten Flash-Segmentes, Programmieren des 
neuen Boot-Blocks in das erste Flash-Segment durch Kopieren 
des zweiten Flash-Segmentes in das erste Flash-Segment und 
exne Signaturpruf ung fur den neuen Boot-Block in dem ersten 
Flash-Segment. Nach einem Abbruch wahrend dieser 
Verfahrensschritte kann mit dem gultigen, neuen Boot-Block 
in dem zweiten Flash-Segment die Flash-Programmierung 
erneut gestartet werden. Vorzugsweise wird im Flash- 
Spexcher immer ein Boot-Block als fur einen Neustart der 
Flash-Programmierung giiltiger Boot-Block markiert. Diese 
Gultigkeitsmarkierung selbst mufi dabei unverlierbar im 
Flash-Speicher abgelegt werden, so daJi mit dieser 
information ein Wiederauf setzen mSglich ist. In einem 
letzten Schritt des erf indungsgemaAen Verfahrens wird 
sodann der neue Boot-Block im ersten Segment des Flash- 
Speichers aktiviert und gleichzeitig der alte Boot-Block im 
RAM deaktiviert. 
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Welter Vorteile und bevorzugte Ausfuhrungsf ormen der 
Erf indung werden anhand der folgenden Figuren naher 
eriautert: 



Figur 1 schematische Darstellung einer Spezif ikation von 
fUr eine Flash-Programmierung relevanten 
Speicherblocken eines Steuergerates gemafi einer 
Ausfuhrungsf orm des erf indungsgemaAen Verfahrens; 

Figur 2 schematische Darstellung einer Spezif ikation von 
Sicherheitsanforderungen und -maiJnahmen gemafi 
einer weiteren Ausfuhrungsf orm des 
erfindungsgemafien Verfahrens; 

Figur 3 schematische Darstellung von Zustanden und 

Ubergangen eines Boot-Blocks bei einer Flash- 
Programmierung von Programm- und Datenstand eines 
elektronischen Steuergerates; 

Figur 4 schematische Darstellung des Ablaufs einer 
Ausfiihrungsform eines erf indungsgemalien 
Verfahrens zur Durchfuhrung einer Flash- 
Programmierung eines Boot-Blocks. 

Figur 1 zeigt eine Zuordnung von Speicherblocken einer 
Software eines Steuergerates fur eine Durchfuhrung eines 
Software-Updates eines Steuergerates durch eine Flash- 
Programmierung. Gezeigt ist ein Steuergerat 1 mit einem 
Mikrocontroller 2. Der Mikrocontroller 2 verfugt uber einen 
Mxkroprozessor 3 und drei verschiedene Speicher namlich 
einen ROM (Read-Only-Memory) 4, einen Flash-Speicher 5 und 
einen RAM (Random Access Memory) 6. Ferner weist das 
Steuergerat 1 eine serielle Schnittstelle 7 zur Ankopplung 
an eine Of f-Board-Diagnoseschnittstelle 8 auf, uber welche 
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ein Flash-Programmierwerkzeug angeschlossen werden kann Im 
unteren Teil von Figur 1 1st eine Speicherzuteilung von ftir 
die Flash-Programmierung relevanten Speicherblocken der 
Software des Steuergerates 1 dargestellt. Dabei werden die 
Speicherblocke in programmierbare und nicht programmierbare 
Speicherblocke unterteilt und neu zu programmierende 
Komponenten der Software den Speicherblocken entsprechend 
zugeordnet. Programmteile des Mikrocont rollers 2, die far 
eine Kommunikation zwischen dem Mikrocontroller 2 und einem 
Flash-Programmierwerkzeug aber die Off-Board- 
Diagnoseschnittstelle 8 wahrend der Flash-Programmierung 
erforderlich sind, werden unterteilt in einen sog. Start- 
up-Block 9 und einen sog. Boot-Block 10. Der Start-up-Block 
9 und der Boot-Block 10 stellen zusammen die far die Flash- 
Programmierung aber die Of f-Board-Diagnoseschnittstelle 8 
notwendige Softwaref unktionalitat des Mikrocontrollers 2 
zur Verfagung. Die Aufteilung in Start-up-Block 9 und Boot- 
Block 10 ist aus verschiedenen Grttnden sinnvoll. So kann 
der Boot-Block 10 selbst, der im hier dargestellten Fall in 
emem Segment A des Flash-Speichers 11 abgelegt ist, neu 
programmiert werden. Aufierdem kann im Boot-Block 10 der 
aktuelle Status der Flash-Programmierung unverlierbar 
abgespeichert werden, so daJi bspw. nach einem Abbruch ein 
Wiederaufsetzen mSglich ist. Die unveranderbare 
Basisfunktionalitat des Start-up-Blocks 9 kann dagegen im 
kostenganstigeren und nicht neu programmierbaren ROM 12 
abgelegt werden. In einem weiteren Segment des Flash- 
Speichers, einem Flash-Segment B wird der Programmstand 
abgelegt und in einem Flash-Segment C der Datenstand. 

In Figur 2 ist eine Spezif ikation von 

Sicherheitsanforderungen bei Durchfuhrung einer Flash- 
Programmierung dargestellt. Gezeigt ist ein mSglicher 
Ablauf einer Kommunikation zwischen einem Flash- 
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Progra^rerwerkzeug 13 und einem Microcontroller 2 eines 

teuergerates. Nach einer durch Anfrage seitens des n J„_ 
Progranmzerwerkzeugs 13 und Ruckmeldung des 
Microcontrollers 2 durchgef uhrten PlausibilitatsprUf ung U 

Till: : ine : Uber9an9 ^ B "-^— and ..Software- 

Update durchgefuhrt werden m u 6 , „ird sine Prttfung bzgl 
der ergentlichen Zugrif fberechtigung durchgefahrt oieser 

chrrtt wrrd els Authentisierung 15 bezeichnet. Dabei wild 
anhand ernes digitalen Schlassels uberpraft, ob eln 
Anwender des Plash-Progra^ierwerkzeugs 13 berechtigt 1st 
ern Software-Update vorzuneh.en. In ei„e m weiteren 
Prufungsschritt 16 „ ird dle Datenkonslsten2 ^ ^ 
progra^rerenden Program- oder Datenstands uberprMt 
ZIZ^T " ird aUCh " S — ™*u»g bezLn et. 

welter n lilT "^—-i'— * 13 anhand eines 
werteren drgrtalen Schlussels uberpruft, ob der neu zu 
programnrerende Program- oder Datenstand zur 
Steuergeratehardware paBt und ob ri*r- „„„ 

Pr „„_ . „ f r una ob der neu zu programmierende 

Program- oder Datenstand seit seiner Auslieferung 
unzulassig .anipuliert wurde. Erst nach ei„e m erfolgreichen 

S ht t I"" l" PrUfUn9 " Srden — — '» in- 

die el I in •!»- Schritt 18 

dre entsprechenden Flash-Seg^ente progra^iert . Nach der 

2 a f Ba^:T erUn9 " lrd Si9natUr ™ ^—roller 

2 auf Bas ls des tatsachlich im Flash-Speicher 

progra^ierten Program- u „d Datenstands berechnet, u, 

ell , Pr ° 9raI ™ ie ™^ « zu konnen. Mach 

Srlt r Si9nat -^ Uf -« » diese berechnete 

Srgnaturprufung selbst i m Plash-Speicher abgelegt. Dazu 

2 Til r dere -g. ProgrLstaLs- 

oaten t 9±Stik ^ ^ «" des 

Datenstands » Plash-Speicher abgelegt. N ur nach einer 

erfolgrerchen Signaturprufung 19 gibt der Boot-Block die 
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Aktivierung des neuen Programms wie bspw. eines 
Fahrprogramms frei. 

Figur 3 zeigt in schematischer Darstellung Zustand und 
Obergange eines Boot-Blocks bei einer Flash-Progra-mnierung 
von Program- und Datenstand. Zunachst wird in einem 
Schritt 20 bei Ankopplung eines Flash-Prograronierwerkzeugs 
an den Microcontroller tiber eine Off-Board- 

Diagnoseschnittstelle das Steuergerat identif iziert und ein 
Ubergang des Mikrocontrollers in dem Betriebszustand 
"Software-Update" initiiert. Wird hierbei in einem Schritt 
21 em Fehler erkannt, so kommt ss sofort zu einem Abbruch 
des Programr.iervorgangs mit gleichzeitiger Ausgabe einer 
Fehlermeldung F. In einem weiteren Schritt 22 wird eine 
Authentisierung des Benutzers des angekoppelten Flash- 
Programmierwerkzeuges vorgenommen. Auch hier kommt es zu 
eznem Abbruch mit einer Fehlermeldung F, falls in einem 
Schrztt 23 ein Fehler erkannt wird. Im AnschluB daran wird 
ezne Sxgnaturprufung 24 vorgenommen, was einhergeht mit 
erner Prufung der Datenkonsistenz Uber Hardware- 
/Programmstands-/ Datenstands-Logistik. Ein erkannter 
Fehler 25 wird auch hier mit einem Abbruch und 
einhergehender Fehlermeldung F signalisiert . Nach 
DurchfUhrung dieser Schritte kommt es zu einem Loschen 26 
des Flash-Segmentes, i„ ue l 0 hem der Programmstand abgelegt 
zst, daraufhin wird in eine Schritt 27 der neue 
Programmstand programmiert und eine Signaturprufung 28 fur 
den neuen Programmstand durchgefuhrt . Die gleichen Schritte 
werden in den Schritten 29, 30, 31 bzgl. der Flash- 
Programmierung des Datenstandes vorgenommen. Wird bei der 
Srgnaturprufung fur Programmstand bzw. far Datenstand ein 
Fehler erkannt, so erfolgt auch hier ein Abbruch mit einer 
ernhergehenden Fehlermeldung F. Werden demgegenuber keine 
Fehler erkannt, so erfolgt in einem Schritt 32 ein Uber9ang 
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10 



15 



20 



25 



30 



des Microcontrollers in dem Betriebszustand 
"Anfangszustand" durch ein Reset. 

Figur 4 beschreibt die Verf ahrensschritte bei eine r Flash- 
Programmierung ein e S Boot-Blocks. Zunachst muA der aktive 
Boot-Block "A" wahrend der Flash- Programmierung in einen 
anderen Speicherbaustein des Mikrocontrollers ausgelagert 
werden, d.h. Boot-Block "A" mufi relokatierbar sein. Dies 
kann bspw. durch ein Kopieren des Boot-Blocks "A" in ein 
wahrend der Flash-Programmierung freien RAM-Bereich 
erfolgen. Anschlieflend wird dann der Boot-Block "A" aus dem 
RAM ausgeftihrt. Auch nach einer f ehlgeschlagenen Flash- 
Programmierung des Boot-Blocks mufi ein Neustart des 
Programmierablaufs moglioh sein. Zur Erhaltung der 
VerfUgbarkeit nach einem Abbruch ist ein fehlerfreier Boot- 
Block ausreichend. In einem ersten Schritt des Verfahrens 
wrrd der alte Boot-Block "A" in einen freien RAM-Bereich 
kop.ert. in einem zweiten Schritt wird der alte Boot-Block 
" **" aktiviert ' wa- durch die Markierung »A« kenntlich 
gemacht ist, und im Flash-Speicher deaktiviert. Der neue 
Boot-Block wird in einem Flash-Segment C zwischenabgelegt . 
Dabe, W1 rd das Flash-Segment C zunachst gelSscht, der neue 
Boot-Block m Flash-Segment C programmiert und eine 
Signaturprufung fur den neuen Boot-Block im Flash-Segment C 
durchgefuhrt. Nach einem Abbruch wahrend dieser 
Verfahrensschritte kann mit dem gUltigen, alten Boot-Block 
xm Flash-Segment A die Flash-Programmierung erneut 
gestartet werden. m einem dritten Schritt wird der neue 
Boot-Block programmiert, was durch ein Kopieren von Flash- 
Segment C nach Flash-Segment A durchgefuhrt wird. Dieser 
Schritt umfaflt das Loschen des Flash-Segments A, das 
Programmieren des neuen Boot-Blocks in Flash-Segment A 
durch Kopieren des Flash-Segments C nach A und einer 
Signaturprufung far den neuen Boot-Block in Flash-Segment 
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A. Nach einem Abbruch wahrend dieser Verf ahrensschritte 
kann mit dem gultigen, neuen Boot-Block in Flash-Segment C 
die Flash-Programmierung erneut gestartet werden. Der 
jeweils gultige Boot-Block im Flash-Speicher mufi markiert 
5 werden. Diese Gultigkeitsmarkierung selbst mufi unverlierbar 
im Flash-Speicher abgelegt werden, so dafi mit dieser 
Information ein Wiederauf setzen moglich ist. 
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Ansprtiche 

1. Verfahren zur Durchfuhrung eines Software-Updates 
eines Steuergerates durch eine Flash-Programmierung eines 
mehrere Segmente aufweisenden Flash-Speichers des 
Steuergerates iiber eine serielle Schnittstelle, das 
mindestens die folgenden Schritte aufweist: 

a) Festlegen von an die Flash-Programmierung zu stellende 
Anf orderungen ; 

b) Festlegen eines Ablaufs der Flash-Programmierung durch 
einen Zustande und Ubergange der Software def inierenden 
Zustandsautomaten; 

c) Uberprufen von Verf tigbarkeits-, Sicherheits- und 
Zuverlassigkeitsanf orderungen eines jeden Zustands und 
eines jeden Ubergangs des Zustandsautomaten. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dali 
fur die Software des Steuergerates verschiedene 
Betriebszustande, insbesondere ein "Anfangszustand", ein 
"Normal zustand" und ein "Software-Update", Ubergange 
zwischen den Betriebszustanden und Ubergangsbedingungen 
spezifiziert werden. 
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3. Verfahren nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dafi fur Flash- Programmierung relevante 
Speicherbiacke der Software des Steuergerates in 
programmierbare und nicht programmierbare Speicherbiacke 
unterteilt werden und neu zu programmierende Komponenten 
der Software den Speicherbldcken entsprechend zugeordnet 
werden . 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dafi 
die Speicherblocke der Software jeweils einem Speicher des 
Steuergerates, insbesondere ein programmierbarer 
Speicherblock mindestens einem Segment des Flash-Speichers, 
bzw. ein nicht programmierbarer Speicherblock einem ROM des 
Steuergerates zugeordnet werden. 

5. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dafi jeweils in Segmenten des Flash- 
Speichers des Steuergerates ein fur die Durchfuhrung der 
Flash-Programmierung notwendige Sof tware-Funktionalitat 
bereitstellender Boot-Block, ein Programm- und ein 
Datenstand und in einem ROM des Steuergerates ein fur die 
Durchfuhrung der Flash-Programmierung notwendige Software- 
Funktionalitat bereitstellender Start-up-Block abgelegt 
werden. 

6. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dafi Sicherheits-, Zuverlassigkeits- 
und Verfugbarkeitsanforderungen der Flash-Programmierung 
spezifiziert werden. 

7. Verfahren nach einem der Anspriiche 2 bis 6, dadurch 
gekennzeichnet, dafi durch den Zustandsautomaten bei 
Durchfuhrung der Flash-Programmierung im Betriebszustand 
"Software-Update" einnehmbare Subzustande, Ubergange 



WO 2005/004160 



- 19 - 



PCT/DE2004/001326 



zwischen diesen und Obergangsbedingungen spezifiziert 
werden . 

8. Zustandsautomat zur Durchfuhrung eines Software- 
Updates eines Steuergerates durch eine Flash- 
Programmierung, der alle bei Durchfuhrung des Software- 
Updates einnehmbare Subzustande der Software des 
Steuergerates, Ubergange zwischen diesen und 
Obergangsbedingungen definiert und bei Auftreten einer 
Sterung wahrend der Durchfuhrung des Software-Updates ein 
dauerhaftes, unverlierbares Abspeichern eines zuletzt 
gultigen oder fehlerfrei durchlauf enen Zustandes 
spezifiziert . 

9. Zustandsautomat nach Anspruch 8, dadurch 
gekennzeichnet dali als Subzustande "Abbruch/Fehlermeldung", 
"AbschluA/Erfolgsmeldung", Subzustande fur eine 
Authentisierung und Signaturpruf ung, Subzustande fur 
Loschen und Programmieren von Segmenten des Flash-Speichers 
spezifiziert sind. 

10. Computerprogramm, bestehend aus Programmcodeelementen 
durch welches bei Ausfuhren der Programmcodeeleitiente auf 
einem Computer oder auf einem Computer system automatisch 
vordefinierte Verf ttgbarkeits-, Sicherheits- und 
Zuverlassigkeitsanforderungen eines j.eden Zustands und 
eines jeden Ubergangs eines Zustandsautomaten gemafi 
Anspruch 8 oder 9 uberpruft werden. 



11. Verfahren zur Durchfuhrung einer Flash-Programmierung 
eines fur die Durchfuhrung der Flash-Programmierung 
notwendige Sof tware-Funktionalitat bereitstellender , in 
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einem ersten Segment (Flash-Segment A) eines Flash- 
Speichers abgelegten Boot-Blocks, 

wobei das Verfahren mindestens die folgenden Schritte 
aufweist : 



a) Kopieren des neu zu programmierenden, alten Boot- 
Blocks in einen freien Bereich eines zweiten Speichers 
(RAM) ; 



b) Aktivieren des alten Boot-Blocks in dem zweiten 
Speicher (RAM) und Deaktivieren des alten Boot-Blocks i 
Flash-Speicher; 



c) Zwischenablegen eines neuen Boot-Blocks in einem 
zweiten Segment (Flash-Segment C) des Flash-Speichers; 

d) Programmieren des neuen Boot-Blocks durch Kopieren des 
zweiten Segments (Flash-Segment C) nach dem ersten Segment 
(Flash-Segment A) ; 

e) Aktivieren des neuen Boot-Blocks in dem ersten Segment 
(Flash-Segment A) und Deaktivieren des alten Boot-Blocks in 
dem zweiten Speicher (RAM) . 

12. Verfahren nach Anspruch 11, dadurch gekennzeichnet , 
daft im Flash-Speicher immer ein Boot-Block als far einen 
Neustart der Flash-Programmierung gultiger Boot-Block 
markiert wird. 
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Figur 3 
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